Schließen

Was der CFO unbedingt über die Cloud wissen muss

Datenschutz und Cloudnutzung im Unternehmen

Was der CFO über die Cloud wissen muss

Finanzdaten in der Cloud? Einige rollen die Augen, andere strahlen. Welche Vorteile überwiegen? Der Beitrag von Daleth-Datenschutz zeigt, welche Cloud-Lösungen es gibt und listet die Vor- und Nachteile der Cloud. Weiter wird eine Entscheidungshilfe dazu gezeigt, ob interne oder externe Lösungen sicherer sind. Zur Prüfung von Angeboten und Dienstleistungen wird ein Kriterienkatalog vorgestellt, eine umfangreiche Linksammlung rundet den Beitrag ab.

Welche Cloud-Lösungen sind etabliert?

Mit Cloud-Lösungen sind sehr unterschiedliche Anwendungsfälle gemeint. Allen Anwendungen ist gemeinsam, dass spezialisierte Bereiche außerhalb des eigenen Firmennetzwerkes genutzt werden. Der Lösungsanbieter stellt nicht nur die Funktion selbst zur Verfügung, sondern auch die gesamte erforderliche Infrastruktur. Daneben kümmert sich der Anbieter zusätzlich um Administration, Updates, Verfügbarkeit, Backups. Zusammengefasst lassen sich folgende Lösungen unterscheiden

  • Speicherlösungen mit erweiterten Funktionen wie Backup, Versionierung, Zugriff für Mitarbeitende
  • Bausteine für Anwendungen, sogenannte Frameworks, die Funktionen für bestimmte Einsatzzwecke bereitstellen und mit denen sich weitere Anwendungen erstellen lassen
  • Anwendungen für bestimmte Einsatzfälle wie Finanzbuchhaltung, Kommunikationslösungen
  • Systeme, die Infrastruktur wie Server, Router usw. zur Verfügung stellen.

Was sind die Vorteile von Cloud-Lösungen?

Es gibt etliche Argumente für den Einsatz von Cloud-Lösungen.

  • Mit den regelmäßigen Zahlungen sind alle Leistungen abgegolten. Es entstehen keine weiteren Kosten für Hardware, Software oder
    Mitarbeitende.
  • Der Zugriff auf die Systeme einer Cloud-Lösung erfolgt ortsunabhängig.
  • Es entsteht kein Investitionsaufwand. Der Einsatz einer Cloud-Lösung ist kaufmännisch betrachtet eine Dienstleistung.
  • Die verwendete Software ist immer aktuell. Für die Aktualisierung entstehen – kaum – zusätzliche Ausfallzeiten. Gerade in Bereichen mit sich ständig ändernder Gesetzeslage ist das ein Vorteil.
  • Für Neu- oder Ersatzinvestitionen entsteht kein Aufwand für den Ausschreibungsprozess. Außerdem sind die Lösungen schnell auf geänderte Anforderungen anpassbar.

Welche Nachteile hat eine Cloud-Lösung?

Gleichzeitig sind folgende Punkte erkennbar, die gegen den Einsatz von Cloud-Diensten sprechen

  • Es ist ein Internetzugang erforderlich, um Cloud-Dienste nutzen zu
    können.
  • Der Funktionsumfang lässt sich nicht beliebig erweitern, sondern ist vorgegeben. Mit Geld lässt sich hier sicher Einiges realisieren, aber die Nutzung einer Cloud soll ja nun gerade Geld einsparen.
  • Da sich der Funktionsumfang nun nicht beliebig erweitern lässt, muss vor Nutzungsbeginn der Cloud-Lösung geklärt werden, ob die im
    Unternehmen etablierten Prozesse mit den vom Cloud-Anbieter angebotenen Funktionen abgedeckt werden können. Wenn die Abdeckung nicht zu 100 % erfolgen kann, müssen die wesentlichen Funktionen umgesetzt werden können. Für die bleibenden Unternehmensprozesse, die nicht realisiert werden können, sind lokale Abläufe zu etablieren oder die Prozesse müssen so umgestaltet werden, dass sie mit den vorhandenen Funktionen der Cloud-Lösung verwendbar werden.
  • Der Wechsel zu einem anderen Cloud-Anbieter ist meist mit großem Aufwand verbunden.
  • Mit der Cloud-Lösung werden Daten erhoben, verarbeitet und genutzt – im weiteren verwendet -, die das Firmennetzwerk verlassen. Mit dem Cloud-Anbieter ist ein entsprechender Vertrag abzuschließen.
  • Die Nutzungsgeschwindigkeit ist niedriger als die im Firmennetz.

Der letzte Punkt ist für viele Unternehmen ein KO-Kriterium, so dass sie sich regelmäßig gegen den Einsatz von Cloud-Lösungen entscheiden. Dazu gehören Banken und Versicherungen. Auch Telekommunikationsanbieter und Logistikunternehmen oder Handelsunternehmen gehören dazu.

Wie sicher sind Daten außerhalb des Firmennetzes?

Sicher ist dabei nur, dass Daten nirgends sicher sind. Weder innerhalb des Firmennetzes noch außerhalb. Hat ein potenzieller Angreifer die Fährte aufgenommen, ist es nur eine Frage des Aufwands, ob ein Angriff lohnt oder nicht. Auch umgekehrt müssen Aufwand und Nutzen für die Absicherung von Daten in einem ausgewogenen Verhältnis stehen. Wer sich für die interne Datenhaltung entscheidet, hat Kosten für die Aktualisierung und Vorhaltung von Hard- und Software, für die Schulung der Mitarbeitenden und Ausfallzeiten für die Aktualisierung in Kauf zu nehmen. Wer Daten außerhalb speichert, hat das Risiko zu akzeptieren, dass Daten vom Cloud-Anbieter selbst ausgespäht werden.

Dabei hilft es wenig, wenn die Daten innerhalb der Cloud hochgradig gesichert sind, wenn die Daten auf den Endgeräten nicht gesichert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für diesen Basisschutz Richtlinien erarbeitet. Sie umfassen

  • Einstellungen für sichere Personalcomputer
  • Sichere Einstellungen
  • Sichere Verwendung der Technik
  • Veröffentlichte Daten
  • Individuelle Einstellungen
  • Erste Hilfe bei Notfällen
  • Schutzmaßnahmen

Cloud-Anbieter behalten sich oft das Recht vor, überlassene Daten dahingehend zu prüfen, ob sie gesetzlichen Regelungen entsprechen. Dabei
werden natürlich immer auch harmlose Daten – also Ihre Daten – gelesen  und geprüft. Aus meiner Sicht gehört großes Vertrauen zu einem Cloud-Anbieter, dass die dabei gewonnen Informationen nicht in falsche Hände gelangen. Die Tatsache, dass staatliche Stellen Daten lesen, sei es inner- oder außerhalb des eigenen Netzes – lasse ich dabei außen vor. Daraus ergibt sich aber nicht, dass ich dieses Vorgehen billige.

In Sicherheitshinsicht ist das Firmennetz sicherer, denn die Daten müssen das Netzwerk nicht verlassen. Dabei ist eine wesentliche Voraussetzung, dass die Sicherheitsvorkehrungen im Firmennetzwerk dem Stand der Technik entsprechen.

Welche Punkte sind für die Datenspeicherung in einer Cloud-Lösung zu beachten?

Für die umfassende Beurteilung einer Cloud-Lösung halte ich folgende Kriterien aus Sicht des Datenschutzes für wesentlich

  • Sind die Daten beim Cloud-Anbieter sicherer als im lokalen Netzwerk gespeichert?
  • Wurden einzelvertragliche Regelungen mit dem Cloud-Anbieter getroffen? Wurde eine Vereinbarung zur Auftragsdatenverarbeitung getroffen?
  • Garantiert der Cloud-Anbieter, die überlassenen Daten nicht selbst zu nutzen?
  • Kann der Anbieter gewährleisten, dass die technisch-organisatorischen Maßnahmen für den Datenschutz  gemäß Anlage 1 zu § 9 Bundesdatenschutzgesetz in seinem Haus umgesetzt sind?
  • Lässt der Anbieter eine dahingehende Überprüfung zu?
  • Wo hat der Cloud-Anbieter seinen Sitz? Welches Rechtssystem gilt dort?
  • Sind die Daten bei Übertragung und Speicherung ausreichend verschlüsselt?
  • Können alle Hardwareplattformen im Unternehmen auf die Cloud-Lösung zugreifen?
  • Sind Regelungen im Unternehmen vorhanden, die beschreiben, welche Daten in Cloud-Lösungen gespeichert werden dürfen?
  • Können die Daten auch außerhalb der Cloud gesichert werden? Werden sie auch gesichert?
  • Was geschieht mit den Daten nach Vertragsende beim Cloud-Anbieter?
  • Wurden alle Endgeräte mit einem zuverlässigen Basisschutz versehen?

Quellenangaben

BITKOM
BITKOM-Checkliste zur Vertragsgestaltung im Cloud Computing
BIZZWIRE
Datensicherheit und Datenschutz in der Cloud
BSI-A
Basisschutz
BSI-B
In
die Cloud – aber sicher
CEBIS
Cloud Computing für Unternehmen: Wirtschaftlichkeit contra Sicherheit
CIO-A
Bedenken gegen Workplace aus der Cloud
CIO-B
Unbegrenzte Möglichkeiten in der Cloud – und trotzdem sicher?
CIO-C
Was ist was bei der Cloud-Zertifizierung?
CLOUD COMPUTING BLOG
Vor- und Nachteile der Cloud
COMPUTERWOCHE
Cloud-Checklisten für den CIO
GERLACH
Cloud News
IP-INSIDER
Infrastructure-as-a-Service – die Königsklasse des Cloud Computings
TECCHANNEL, IT im Mittelstand
Sieben Tipps für Ihren sicheren Weg in die Cloud
SECURITY INSIDER
Risiken des Cloud Computing mit detaillierter Checkliste umgehen
SELBSTÄNDIG IM NETZ
Risiken in der Cloud – Pro und Contra von Online-Services für Selbständige
WIRTSCHAFTSWOCHE
Stiftung WarentestCloud-Dienste fallen bei Sicherheitstest durch

Foto: © cking – Flickr (CC BY SA 2.0)

Über den Autor diet46

Antwort schreiben

Ihre Email-Adresse wird nicht veröffentlicht.Erforderliche Felder sind gekennzeichnet *